Rapport HijackThis

[Apollo]

Bonsoir, ^^

 

Le PC appartient à mon associé ce qui explique la ligne sex

 

Si tu savais ce que j'en vois passer des rapports, et des bien plus "salés" que ça

 

Je suis vacciné mdr.

 

En attente du rapport Navilog1.

 

@++ :

[Belles]

Bonsoir,

 

On dirait que Navilog1 a trouvé mon problem

 

C:\WINDOWS\system32\dfyuttnjp.dat

C:\WINDOWS\system32\dfyuttnjp.exe

C:\WINDOWS\system32\dfyuttnjp_nav.dat

C:\WINDOWS\system32\dfyuttnjp_navps.dat

 

Mais l'a t il réparé

 

C'est là que l'on voit que le PC appartenait à Serge

 

PS : Tu pourrais poster, sans citer de noms bien sur, tes trouvailles dans les logs

 

fixnavi log (j'ai raccourci les sauts de ligne):

 

Search Navipromo version 3.6.7 began on 29/10/2008 at 21:26:40,10

 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Actual User Account : "Serge"

 

Updated on 22.10.2008 at 20h00 by IL-MAFIOSO

 

Microsoft Windows XP [version 5.1.2600]

Version Internet Explorer : 7.0.5730.11

Filesystem type : NTFS

 

Search done in normal mode

 

*** Searching for installed Software ***

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Program Files" ***

*** Search folders in "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Search folders in "C:\Documents and Settings\All Users\menudm~1" ***

*** Search folders in "c:\docume~1\alluse~1\applic~1" ***

*** Search folders in "C:\Documents and Settings\Serge\applic~1" ***

*** Search folders in "C:\Documents and Settings\Serge\locals~1\applic~1" ***

*** Search folders in "C:\Documents and Settings\Serge\menudm~1\progra~1" ***

 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net

 

Hidden file(s) :

 

C:\WINDOWS\system32\dfyuttnjp.dat

C:\WINDOWS\system32\dfyuttnjp.exe

C:\WINDOWS\system32\dfyuttnjp_nav.dat

C:\WINDOWS\system32\dfyuttnjp_navps.dat

 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!

 

* Scan in "C:\WINDOWS\system32" *

 

* Scan in "C:\Documents and Settings\Serge\locals~1\applic~1" *

 

*** Search files ***

 

*** Search specific Registry keys ***

 

HKEY_CURRENT_USER\Software\Lanconfig found !

 

*** Complementary Search ***

(Search specific files)

 

1)Search new Instant Access files :

 

2)Heuristic Search :

 

* In "C:\WINDOWS\system32" :

* In "C:\Documents and Settings\Serge\locals~1\applic~1" :

 

3)Certificates Search :

 

Egroup certificate found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !

 

4)Search known files :

 

*** Search completed on 29/10/2008 at 22:08:12,03 ***

[Apollo]

Re

 

Double-clique sur le raccourci Navilog1 présent sur le bureau

• Laisse-toi guider. Au menu principal, choisis 2 et valide.
  Patiente jusqu'au message : *** Analyse Termine le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
  Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)
  

 

NB: Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Cela fera apparaître ton bureau.

 

Poste également un tout nouveau log Hijackthis après ça stp.

 

@++

[Belles]

 

Par rapport à ton explication seule différence est que le PC à redémarré pour terminer. Pas de disparition du bureau par contre.

On dirait que c'est réglé non ?

 

Log cleannavi

 

Navipromo Removal version 3.6.7 started on 30/10/2008 at 13:42:51,43

 

Fix running from C:\Program Files\navilog1

Actual User Account : "Serge"

 

Updated on 22.10.2008 at 20h00 by IL-MAFIOSO

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Filesystem type : NTFS

 

Automatic removal

with Catchme and GNS results

 

Cleanning stage done on Reboot

 

*** Creating backups for files found by Catchme

 

Copy to "C:\Program Files\navilog1\Backupnavi"

 

*** Deleting files found with Catchme ***

 

** Second pass with Catchme results **

 

* In "C:\WINDOWS\system32" *

 

C:\WINDOWS\prefetch\dfyuttnjp*.pf found !

Copy C:\WINDOWS\prefetch\dfyuttnjp*.pf done !

C:\WINDOWS\prefetch\dfyuttnjp*.pf deleted !

 

* In "C:\Documents and Settings\Serge\locals~1\applic~1" *

 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Documents and Settings\Serge\locals~1\applic~1" *

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Program Files" ***

*** Deleting folders in "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Deleting folders in "C:\Documents and Settings\All Users\menudm~1" ***

*** Deleting folders in "c:\docume~1\alluse~1\applic~1" ***

*** Deleting folders in "C:\Documents and Settings\Serge\applic~1" ***

*** Deleting folders in "C:\Documents and Settings\Serge\locals~1\applic~1" ***

*** Deleting folders in "C:\Documents and Settings\Serge\menudm~1\progra~1" ***

*** Deleting files ***

*** Deleting temporary files ***

 

Cleaning of C:\WINDOWS\Temp done !

Cleaning of C:\Documents and Settings\Serge\locals~1\Temp done !

 

*** Complementary Search ***

(Search specific files)

 

1)Deletion with backups new Instant Access files:

 

2)Heuristic search and deletion with backups :

 

* In "C:\WINDOWS\system32" *

 

wcokmgi.exe found !

Copy wcokmgi.exe done !

wcokmgi.exe deleted !

 

wcokmgi.dat found !

Copy wcokmgi.dat done !

wcokmgi.dat deleted !

 

wcokmgi_nav.dat found !

Copy wcokmgi_nav.dat done !

wcokmgi_nav.dat deleted !

 

wcokmgi_navps.dat found !

Copy wcokmgi_navps.dat done !

wcokmgi_navps.dat deleted !

 

C:\WINDOWS\prefetch\wcokmgi*.pf found !

Copy C:\WINDOWS\prefetch\wcokmgi*.pf done !

C:\WINDOWS\prefetch\wcokmgi*.pf deleted !

 

* In "C:\Documents and Settings\Serge\locals~1\applic~1" *

 

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

 

*** Certificates ***

Egroup Certificate deleted !

Electronic-Group Certificate not found !

Montorgueil Certificate not found !

OOO-Favorit Certificate not found !

Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 30/10/2008 at 14:54:11,45 ***

 

Log hijackthis 02

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:26:43, on 30/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\notepad.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Tools\Unlocker\UnlockerAssistant.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Phone\Skype.exe

C:\Program Files\Sitecom\Logiciel Bluetooth\BTTray.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Tools\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\TOOLSW~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Tools\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [uSB Safely Remove] C:\Program Files\Tools\USB Safely Remove\USBSafelyRemove.exe /startup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-507921405-920026266-1060284298-1003\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')

O4 - HKUS\S-1-5-21-507921405-920026266-1060284298-1003\..\Run: [uSB Safely Remove] C:\Program Files\Tools\USB Safely Remove\USBSafelyRemove.exe /startup (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\TOOLSW~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\TOOLSW~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.batiweb.com

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Tools Web\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Serge/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

 

--

End of file - 6718 bytes

[Apollo]

Bonjour,

 

Oui on dirait bien mais on va faire un contrôle quand-même:

 

Désinstalle Navilog1 par ajoot/suppr de programmes et vire son dossier sous C:\Program File.

Vide la corbeille.

 

Pour corriger les failles des applications présentes:

 

Pour être tenu au courant de l'évolution de certaines applications et être dirigé vers des liens de mises à jour de ces programmes: installe le PSI de Secunia.

Une analyse par semaine suffit amplement.

 

Fais un scan en ligne.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@+tard.

[Belles]

Bonsoir Apollo

 

 

 

Merci de nouveau pour ton temps et ta patience

 

J'ai bien désinstallé Navilog1

 

Je suis doit avouer que je suivi par un autre expert chez Lavasoft. J'éspère que tu ne m'en voudra pas.

Vous avez exactement le même cheminement sauf ici. Il m'a demandé de refaire in MBAM avant le scan Norton.

Je joins ici le résultat qui n'est pas fameux

J'ai redémarré pour réparer.

 

Kaspersky deviens fou avec Java et veut aller "online" si tu comprends pourquoi tant mieux.

J'ai fait toutes les mises à jour.

Voici le moment pour le "computer Scan" ... Cela parait très long donc je laisse tourner et donnerais le résultat Lundi

 

Bon Week End

 

MBAM Log

 

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1335

Windows 5.1.2600 Service Pack 3

 

31/10/2008 21:54:21

mbam-log-2008-10-31 (21-54-21).txt

 

Type de recherche: Examen rapide

Eléments examinés: 58756

Temps écoulé: 37 minute(s), 11 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\pchealth\helpctr\binaries\secdrive.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\pchealth\helpctr\binaries\VTkMgr.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\PCHealth\HelpCtr\Binaries\VTskMgr.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\pchealth\helpctr\binaries\svchost.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\pchealth\helpctr\binaries\lsass.exe (Trojan.Agent) -> Delete on reboot.

[Belles]

Bon Kaspersky a planté après avoir scanné 2000 fichiers je dois recommencer le scan

L'ordinateur est horriblement lent

J'envoie un nouveau post dès que je réussi

[Apollo]

Bonsoir,

 

Désactive Norton pour faire le scan Kaspersky.

 

As-tu bien la dernière version de la console Java?

 

Vérifie ici: http://www.java-software.de/fr/download/installed.jsp

 

Sinon je te ferai passer un antivirus en mode sans échec. Il est non-résident donc ne créra aucun conflit.

 

@++

[Belles]

Bonjour,

 

Je relance le Scan Kaspersky ... J'espère qu'il réussiras cette fois. Dernière tentative avant de quémander ton autre solution

 

Mon antivirus s'appelle Nod32. Je vais dans Amon et je désactive le module résident.

 

Version de Java vérifiée merci pour le lien

Félicitations !

Vous disposez de la version Java recommandée (Version 6 Update 10).

 

Lavasoft me demande après le scan Kaspersky de DL : "DirLook by jpshortstuff" puis de :

 

* Double-click DirLook.exe to run it.

* Ensure that Show Hidden Files/Folders and BBCode Ouput are both checked.

* Copy the content of the following codebox into the main textfield:

 

CODE

C:\Program Files\navilog1 /s

 

* Click the DirLook button to start the scan.

* When finished, a notepad window will open with the results of the scan. Please post this log in your next reply. (Note: The log can also be found at C:\dl_log.txt)

 

Note: Scanning may take longer for large folders.

 

Qu'en pense tu :?: Je vois Navilog1 mais je crois bien qu'il est désinstallé

Le PC tourne avec pratiquement 100% des ressources en permanence. Rien que d'ouvrir un dossier est pénible. Je commence à croire que reformater irait plus vite :?:

Modifié le 4 novembre 2008 par Belles

[Apollo]

Bonjour,

 

Je commence à croire que reformater irait plus vite :?:

C'est un gros mot ça ici

 

Mon antivirus s'appelle Nod32

 

Oups! Excuse-moi d'avoir traîté Nod32 de Norton, c'est vraiment pas la même chose

 

Ton Lavamachin là c'est la version payante?

 

A quoi te sert-il à part t'embêter du matin au soir?

 

Si tu veux un antimalware efficace, MBAM, même en version gratuite le vaut cent fois.

On répète quasi tous les jours: Spybot S&D et Ad-Aware sont des produits largués depuis belle lurette.

 

Tu as un très bon antivirus; avec un vrai firewall + MBAM, tu n'aurais besoin de rien d'autre...

 

@ + tard.

Modifié le 4 novembre 2008 par Apollo